IMPLEMENTAÇÃO 802.1X

FACULDADE DE TECNOLOGIA SENAC GOIÁS
Segurança da Informação
IMPLEMENTAÇÃO 802.1X
Rodrigo da Silva Sousa
Roberto José Duarte
Tiago Felício Castro da Silveira
Goiânia
2014
PROJETO INTEGRADOR – QUINTO MÓDULO
Trabalho final do 5º período do curso de
Tecnologia da segurança a informaçãoFaculdade de tecnologia SENAC Goiânia.
Este documento tem como objetivo
mostrar o funcionamento do padrão IEEE
802.X logo demonstraremos um cenário
aplicando o mesmo.
Avaliador: Marissol Martins Barros
Goiânia
2014
SUMÁRIO
1 Introdução ................................................................................................................ 3
1.2 O que é 802.x? ...................................................................................................... 3
1.3 Visão geral......................................................................................................... 4
1.4 Componentes ........................................................................................................ 5
1.5 Segurança ............................................................................................................. 5
2 Implementação ......................................................................................................... 6
2.1 Free Radius ....................................................................................................... 6
3 Cenário ..................................................................................................................... 7
1. INTRODUÇÃO
1.2 O QUE É 802.X?
IEEE 802.1X é um padrão IEEE para controle de acesso à rede com base em portas; faz
parte do grupo IEEE 802.1 de protocolos de redes de computadores. Provê um mecanismo de
autenticação para dispositivos que desejam juntar-se à uma porta na LAN, seja estabelecendo
uma conexão ponto-a-ponto ou prevenindo acesso para esta porta se a autenticação falhar. É
usado para a maioria dos Access points sem fio 802.11 e é baseado no Protocolo de
Autenticação Extensiva (EAP).
1.3 VISÃO GERAL
Um nó wireless precisa autenticar-se antes de poder ter acesso aos recursos da LAN.
802.1X provê autenticação baseada em portas, que envolve comunicação entre o requisitante,
o autenticador e o servidor de autenticação. O requisitante é comumente o software em um
dispositivo cliente, como um laptop, o autenticador é um Switch Ethernet ou Access Point
sem fio, e a autenticação geralmente uma base de dados RADIUS. O autenticador atua como
uma proteção secundária à rede. Não é permitido ao requisitante (ex.: dispositivo cliente)
acesso através do autenticador ao lado protegido da rede até que a identidade do requisitante
seja autorizada. Uma analogia a isso é prover um passaporte válido em um aeroporto antes de
ser permitida a passagem pela segurança até o terminal. Com a autenticação baseada em
portas 802.1X, o requisitante provê credenciais como nome de usuário / senha ou certificado
digital, ao autenticador, e ele encaminha as credenciais até o servidor de autenticação para
verificação. Se as credenciais são válidas (na base de dados do servidor de autenticação), o
requisitante (dispositivo cliente) é permitido acessar os recursos localizados no lado protegido
da rede.
Sob detecção do novo cliente (requisitante), a porta na switch (autenticador) é
habilitada e mudada para o estado “não-autorizado”. Neste estado, apenas tráfego 802.1x é
permitido; outros tráfegos, como DHCP e HTTP, são bloqueados na camada de enlace. O
autenticador envia a identidade de autenticação EAP-request' ao requisitante, que por sua vez
responde com o pacote EAP-response que o autenticador encaminha ao servidor de
autenticação. Se o servidor de autenticação aceitar a requisição, o autenticador muda o estado
da porta para o modo “autorizado” e o tráfego normal é autorizado. Quando o requisitante
efetua um logoff, envia uma mensagem EAP-logoff para o autenticador. O autenticador então,
muda sua porta para o estado “não-autorizado”, bloqueando novamente todo o tráfego nãoEAP.
1.4 COMPONENTES
A autenticação IEEE 802.1X para redes sem fio tem três componentes principais:
O autenticador (o ponto de acesso)
O requerente (o software cliente)
O servidor de autenticação (RADIUS)
1.5 SEGURANÇA
Segurança da autenticação 802.1X inicia uma solicitação de autorização do cliente
sem fio para o ponto de acesso, que autentica o cliente junto a um Extensible Authentication
Protocol (EAP) servidor RADIUS compatível. O servidor RADIUS pode autenticar tanto o
usuário (exemplos são usuário senha ou certificado do usuário) como o sistema (normalmente
por endereço MAC ou certificado de máquina). Teoricamente, o cliente sem fio não tem
permissão para entrar na rede até que a transação seja concluída.
Há vários algoritmos de autenticação usados para o 802.1X. Alguns exemplos são: o
EAP-TLS, EAP-TTLS e Protected EAP (PEAP). Todos esses são métodos para o cliente sem
fio se identificar para o servidor RADIUS. Com a autenticação RADIUS, as identidades dos
usuários são comparadas com bancos de dados. RADIUS é um conjunto de padrões que trata
autenticação, autorização e contabilidade (AAA). RADIUS inclui um processo proxy para
validar clientes em um ambiente de vários servidores. O padrão IEEE 802.1X se destina ao
controle e autenticação para acesso sem fio 802.11 e redes com as redes baseadas em porta
Ethernet. O controle de acesso a redes baseadas em portas é similar à infra-estrutura de redes
LAN chaveadas que autentica dispositivos conectados a uma porta da LAN e impede o acesso
a essa porta se o processo de autenticação falhar.
2 IMPLEMENTAÇÃO
2.1 FREE RADIUS
RADIUS significa Remote Authentication Dial In User Service. Ele é um protocolo
AAA para aplicações para acesso à rede de computadores e mobilidade através de rede IP, e é
definido pela RFC 2865.
O FreeRADIUS é um software livre, licenciado sob a GPL e livre de custos, e é a base
de muitos servidores RADIUS comerciais no mundo.
Numa rede que usa RADIUS, há funções distintas para os equipamentos:
Cliente: é o host que deseja usufruir de um recurso da rede, como por exemplo, uma
estação que deseja se associar a um Access Point.
NAS (Network Autentication Server): é o host que recebe uma solicitação do cliente
(o Access Point por exemplo) e autentica esse pedido no servidor RADIUS.
Servidor RADIUS: é o host que validará o pedido do NAS. A resposta do pedido de
autenticação pode ser positiva (Access-Accept) acompanhada da tabela de parâmetros de
resposta ou negativa (Access-Reject) sem nenhum parâmetro.
Nas respostas positivas (Access-Accept) os parâmetros de resposta são usados para
orientar o NAS de como tratar o cliente.
Numa rede wireless, nos parâmetros podem constar por exemplo, o tempo máximo de
conexão permitida, ou a chave de criptografia que deverá ser usada no canal de comunicação
entre o cliente e o NAS.
O serviço RADIUS é amplamente usado em provedores de acesso a internet. No
Brasil por exemplo, a Oi (empresa de telecomunicações) usa RADIUS no seu produto ADSL
chamado Velox. No sistema Velox, o cliente inicia um pedido de conexão via protocolo
PPPoE, um roteador Cisco série 7000 atende o pedido e envia o nome de usuário e senha para
o servidor RADIUS (localizado num datacenter no Rio de Janeiro), o RADIUS por sua vez
confere as credênciais em seu banco de dados e retorna para o roteador se o cliente pode se
conectar ou não. Se a resposta for positiva, o cliente receberá um IP público e poderá navegar,
caso a resposta seja negativa, o acesso é negado.
3 CENÁRIO PROPOSTO
O projeto foi criado usando um ambiente de rede wireless com intuito de aumentar a
segurança desse tipo de rede.
Foi utilizado um access point Cisco WRT64G2 V1 utilizando WPA2 Enterprise autenticando
em um Servidor com o Freeradius.
O servidor e um CentOS 6.5 com o freeradius com autenticação peap dessa forma não
necessitando de chaves permitindo a autenticação facilitada em todos os tipos de dispositivos.